Lenovo Superfish adware verwijderen 2015-02-21

Lenovo Superfish adware verwijderen

Eergisteren werd de Superfish adware van Lenovo ontdekt. Dit stukje software werd door Lenovo, die een grote leverancier van computers is, sinds augustus 2014 meegeleverd bij de onderstaande modellen. Aangezien ik zo goed als niets hierover in de Vlaamse media terugvond besloot ik zelf maar mensen te informeren met deze blogpost.

Wat is superfish?

Software die al je online activiteiten in het oog houden en bij de websites die je bezoekt, ongevraagd, gepersonaliseerde advertenties tonen. Als dat nog niet erg genoeg is heeft Lenovo, om zo veel mogelijk advertenties te kunnen plaatsen, ook nog een vervalst root certificaat geïnstalleerd waardoor ze effectief alle beveiligde communicatie van de geïnfecteerde computers kunnen lezen en aanpassen (in vaktermen noemen we dat een Man-in-the-middle attack).  Normaal gezien is zo’n root certificaat meegeleverd door een vertrouwde instantie die daarmee garandeert dat websites van aanvallers zich NIET kunnen voordoen als andere, legitieme, beveiligde websites (bvb. uw bank, facebook, …). Dat certificaat is zelf beveiligd met een wachtwoord zodat aanvallers die het root certificaat hebben hun website niet zo kunnen maken dat die KLOPT met dat root-certificaat. Helaas ging Lenovo ook hier de mist in: het passwoord was snel gekraakt. Zonder dat slecht gekozen paswoord kon enkel Lenovo hun vuil spelletje ongestoord (en onopgemerkt) verder spelen. Helaas kan nu IEDEREEN zich voordoen als eender welke site voor de mensen met een geïnfecteerde computer. Dat geeft kwaadwilligen, als ze zich tussen jou en de website die je bezoekt kunnen plaatsen, de mogelijkheid om te doen alsof je verbinding beveiligd is en zonder jou medeweten mee lezen of zelfs in jou naam dingen te veranderen.

Wie is er geïnfecteerd?

De computers van mensen die na augustus 2014 een nieuwe computer van Lenovo hebben gekocht. Lenovo zelf beweert dat het enkel om deze modellen gaat (maar controleer toch maar voor de zekerheid ook als je niet een van deze modellen hebt):

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
  • Y Series: Y430P, Y40-70, Y50-70
  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70
  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
  • E Series: E10-30

Om zeker te zijn kan je deze website bezoeken: https://canibesuperphished.com. Computers die niet geïnfecteerd zijn, tonen normaal gezien een waarschuwing in de browser dat dit een onveilige site is, zoals het voorbeeld hieronder:

 

goodnews

GOED nieuws, je computer is NIET geïnfecteerd! (voorbeeld voor google chrome)

Als je wel toegang krijgt tot de website zonder enige vorm van waarschuwing dan mag je er zeker van zijn dat er iets niet pluis is:

badnews

SLECHT nieuws, je computer is hoogstwaarschijnlijk GEÏNFECTEERD!!

Superfish verwijderen.

Wie Windows Defender (standaard meegeleverd met Microsoft Windows) gebruikt als anti-virus software moet die gewoon laten updaten en een scan laten uitvoeren. Microsoft heeft namelijk een update uitgebracht speciaal om dit certificaat en de slechte software te verwijderen. Waarschijnlijk volgt andere anti-virus software snel hun voorbeeld.

Ook Lenovo probeert nu zijn fout recht te zetten door een programma te maken dat je kan hier kan downloaden en uitvoeren (selecteer daar de link waar de pijl naar wijst in onderstaande afbeelding). Doe dat en test achteraf opnieuw of je nog steeds kwetsbaar bent. Maar zorg voor de zekerheid dat je anti-virus software up to date is en laat die dan nog eens volledig je computer scannen.

removaltool

Download hier waar de pijl naar wijst en voer het programma uit.

Edit: Als deze cijfers uit 2013 nog relevant zijn vandaag, dan zou Lenovo zo’n 15% marktaandeel computers hebben in België. Eens te meer verbaast het mij dus dat de Vlaamse media hier gewoon niet over rapporteert.

Edit2: Lenovo heeft ondertussen uitgebreid zijn excuses aangeboden en maakt zich sterk bloatware volledig te willen bannen. Hopelijk volgen andere computerfabrikanten hun voorbeeld. Uiteindelijk heeft dit verhaal ook de Vlaamse media bereikt via de column van Dominique Deckmyn in de Standaard.

tags: adware removal - basic - security - superfish - windows